<!DOCTYPE html>
<html lang="zh-CN">
<head>
  <meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=2">
<meta name="theme-color" content="#222">
<meta name="generator" content="Hexo 6.3.0">
  <link rel="apple-touch-icon" sizes="180x180" href="/images/apple-touch-icon-next.png">
  <link rel="icon" type="image/png" sizes="32x32" href="/images/favicon.jpg">
  <link rel="icon" type="image/png" sizes="16x16" href="/images/favicon.jpg">
  <link rel="mask-icon" href="/images/logo.svg" color="#222">

<link rel="stylesheet" href="/css/main.css">


<link rel="stylesheet" href="/lib/font-awesome/css/all.min.css">

<script id="hexo-configurations">
    var NexT = window.NexT || {};
    var CONFIG = {"hostname":"matian.connorma.cn","root":"/","scheme":"Muse","version":"7.8.0","exturl":false,"sidebar":{"position":"left","display":"post","padding":18,"offset":12,"onmobile":false},"copycode":{"enable":false,"show_result":false,"style":null},"back2top":{"enable":true,"sidebar":false,"scrollpercent":false},"bookmark":{"enable":false,"color":"#222","save":"auto"},"fancybox":false,"mediumzoom":false,"lazyload":false,"pangu":false,"comments":{"style":"tabs","active":null,"storage":true,"lazyload":false,"nav":null},"algolia":{"hits":{"per_page":10},"labels":{"input_placeholder":"Search for Posts","hits_empty":"We didn't find any results for the search: ${query}","hits_stats":"${hits} results found in ${time} ms"}},"localsearch":{"enable":false,"trigger":"auto","top_n_per_article":1,"unescape":false,"preload":false},"motion":{"enable":true,"async":false,"transition":{"post_block":"fadeIn","post_header":"slideDownIn","post_body":"slideDownIn","coll_header":"slideLeftIn","sidebar":"slideUpIn"}}};
  </script>

  <meta name="description" content="最近需要为系统添加三方应用接入的功能，对接入的三方应用允许获取用户的部分信息——但显然，不能将用户的账号、密码暴露给三方应用。这个过程中产生了一些思考，在此简单记录下。如果要一句话总结的话，就是：多学知识，学习前人的成果。 三方应用接入需要解决的问题三方应用接入关键的是服务端能够识别请求来源，判断是否是已授权的三方应用，所以这首先是一个身份识别的问题。 第二个隐含的问题是系统权限设计的问题：三方应">
<meta property="og:type" content="article">
<meta property="og:title" content="三方应用接入与OAuth的思考">
<meta property="og:url" content="http://matian.connorma.cn/e72717fd.html">
<meta property="og:site_name" content="马天">
<meta property="og:description" content="最近需要为系统添加三方应用接入的功能，对接入的三方应用允许获取用户的部分信息——但显然，不能将用户的账号、密码暴露给三方应用。这个过程中产生了一些思考，在此简单记录下。如果要一句话总结的话，就是：多学知识，学习前人的成果。 三方应用接入需要解决的问题三方应用接入关键的是服务端能够识别请求来源，判断是否是已授权的三方应用，所以这首先是一个身份识别的问题。 第二个隐含的问题是系统权限设计的问题：三方应">
<meta property="og:locale" content="zh_CN">
<meta property="article:published_time" content="2022-12-29T04:10:31.000Z">
<meta property="article:modified_time" content="2024-01-25T12:19:17.209Z">
<meta property="article:author" content="马天">
<meta property="article:tag" content="场景示例">
<meta property="article:tag" content="OAuth">
<meta name="twitter:card" content="summary">

<link rel="canonical" href="http://matian.connorma.cn/e72717fd.html">


<script id="page-configurations">
  // https://hexo.io/docs/variables.html
  CONFIG.page = {
    sidebar: "",
    isHome : false,
    isPost : true,
    lang   : 'zh-CN'
  };
</script>

  <title>三方应用接入与OAuth的思考 | 马天</title>
  






  <noscript>
  <style>
  .use-motion .brand,
  .use-motion .menu-item,
  .sidebar-inner,
  .use-motion .post-block,
  .use-motion .pagination,
  .use-motion .comments,
  .use-motion .post-header,
  .use-motion .post-body,
  .use-motion .collection-header { opacity: initial; }

  .use-motion .site-title,
  .use-motion .site-subtitle {
    opacity: initial;
    top: initial;
  }

  .use-motion .logo-line-before i { left: initial; }
  .use-motion .logo-line-after i { right: initial; }
  </style>
</noscript>

</head>

<body itemscope itemtype="http://schema.org/WebPage">
  <div class="container use-motion">
    <div class="headband"></div>

    <header class="header" itemscope itemtype="http://schema.org/WPHeader">
      <div class="header-inner"><div class="site-brand-container">
  <div class="site-nav-toggle">
    <div class="toggle" aria-label="切换导航栏">
      <span class="toggle-line toggle-line-first"></span>
      <span class="toggle-line toggle-line-middle"></span>
      <span class="toggle-line toggle-line-last"></span>
    </div>
  </div>

  <div class="site-meta">

    <a href="/" class="brand" rel="start">
      <span class="logo-line-before"><i></i></span>
      <h1 class="site-title">马天</h1>
      <span class="logo-line-after"><i></i></span>
    </a>
  </div>

  <div class="site-nav-right">
    <div class="toggle popup-trigger">
    </div>
  </div>
</div>




<nav class="site-nav">
  <ul id="menu" class="main-menu menu">
        <li class="menu-item menu-item-home">

    <a href="/" rel="section"><i class="fa fa-home fa-fw"></i>首页</a>

  </li>
        <li class="menu-item menu-item-about">

    <a href="/about/" rel="section"><i class="fa fa-user fa-fw"></i>关于</a>

  </li>
        <li class="menu-item menu-item-tags">

    <a href="/tags/" rel="section"><i class="fa fa-tags fa-fw"></i>标签</a>

  </li>
        <li class="menu-item menu-item-categories">

    <a href="/categories/" rel="section"><i class="fa fa-th fa-fw"></i>分类</a>

  </li>
        <li class="menu-item menu-item-archives">

    <a href="/archives/" rel="section"><i class="fa fa-archive fa-fw"></i>归档</a>

  </li>
  </ul>
</nav>




</div>
    </header>

    
  <div class="back-to-top">
    <i class="fa fa-arrow-up"></i>
    <span>0%</span>
  </div>


    <main class="main">
      <div class="main-inner">
        <div class="content-wrap">
          

          <div class="content post posts-expand">
            

    
  
  
  <article itemscope itemtype="http://schema.org/Article" class="post-block" lang="zh-CN">
    <link itemprop="mainEntityOfPage" href="http://matian.connorma.cn/e72717fd.html">

    <span hidden itemprop="author" itemscope itemtype="http://schema.org/Person">
      <meta itemprop="image" content="/images/avatar.gif">
      <meta itemprop="name" content="马天">
      <meta itemprop="description" content="程序猿">
    </span>

    <span hidden itemprop="publisher" itemscope itemtype="http://schema.org/Organization">
      <meta itemprop="name" content="马天">
    </span>
      <header class="post-header">
        <h1 class="post-title" itemprop="name headline">
          三方应用接入与OAuth的思考
        </h1>

        <div class="post-meta">
            <span class="post-meta-item">
              <span class="post-meta-item-icon">
                <i class="far fa-calendar"></i>
              </span>
              <span class="post-meta-item-text">发表于</span>

              <time title="创建时间：2022-12-29 12:10:31" itemprop="dateCreated datePublished" datetime="2022-12-29T12:10:31+08:00">2022-12-29</time>
            </span>
            <span class="post-meta-item">
              <span class="post-meta-item-icon">
                <i class="far fa-folder"></i>
              </span>
              <span class="post-meta-item-text">分类于</span>
                <span itemprop="about" itemscope itemtype="http://schema.org/Thing">
                  <a href="/categories/%E5%9C%BA%E6%99%AF%E7%A4%BA%E4%BE%8B/" itemprop="url" rel="index"><span itemprop="name">场景示例</span></a>
                </span>
            </span>

          

        </div>
      </header>

    
    
    
    <div class="post-body" itemprop="articleBody">

      
        <p>最近需要为系统添加三方应用接入的功能，对接入的三方应用允许获取用户的部分信息——但显然，不能将用户的账号、密码暴露给三方应用。这个过程中产生了一些思考，在此简单记录下。如果要一句话总结的话，就是：多学知识，学习前人的成果。</p>
<h2 id="三方应用接入需要解决的问题"><a href="#三方应用接入需要解决的问题" class="headerlink" title="三方应用接入需要解决的问题"></a>三方应用接入需要解决的问题</h2><p>三方应用接入关键的是服务端能够识别请求来源，判断是否是已授权的三方应用，所以这首先是一个身份识别的问题。</p>
<p>第二个隐含的问题是系统权限设计的问题：三方应用使用用户个人数据，是否需要用户的授权。通常这是必须的，但这次系统中面向的是内部管理应用子系统的接入授权问题，认为内部数据流转不需要此流程。</p>
<p>身份识别那么可以使用公钥私钥——但是这样，对于服务端就需要保存所有三方应用的公钥。那么也可以按照这种思路，使用一种更轻的方式：为每个合法的三方应用分配一个ID和secret密钥，三方应用请求时使用secret对内容进行签名，服务端验证签名，则可以识别请求来源的合法性。</p>
<p>基于这一思路，可以设计出一种方式：</p>
<ul>
<li>服务端为三方应用分配一个可公开的ID、一个不可公开的secret</li>
<li>三方应用使用secret对ID签名得到sign，携带自身ID与sign向服务端请求一个随机数（面向管理端子系统，默认用户同意授权），这一随机数和三方应用ID一一对应、在一定时间内有效</li>
<li>三方应用使用secret对随机数及时间戳签名，携带签名、时间戳和自身ID发起请求</li>
<li>服务端校验根据三方应用ID、随机数验证签名，并比对入参时间戳限制请求发起时间，从而确认请求来自合法的三方应用</li>
</ul>
<p>这里身份认证的可信来自于签名算法的单向和secret的私密——但也并不是非常完善的，尤其是与OAuth协议的流程对比之后。不过，<strong>稍进一步分析之后也几乎可以得到结论是，不使用https（或者类似https的非对称、对称组合）的情况下，怎么做也不安全</strong>。</p>
 <span id="more"></span>

<h2 id="OAuth协议的流程"><a href="#OAuth协议的流程" class="headerlink" title="OAuth协议的流程"></a>OAuth协议的流程</h2><p>不难发现，前文设计的流程与OAuth授权流程的基本思路是一致的——所以由此也可以看出OAuth确实是非常简明的。</p>
<p>OAuth中最常用的是授权码模式，最典型的应用也是最常见的例子：github的OAuth app(这里有一个<a target="_blank" rel="noopener" href="https://gitee.com/connormma/blog-examples/blob/master/oauth-example">接入代码示例</a>)、微信小程序请求微信登录，都是基于OAuth的授权码模式</p>
<p>这里再来看一下集成github OAuth的流程：</p>
<ol>
<li>登录一个oauth app，分配到client_id（appId），client_secret</li>
<li>用户在三方应用请求登录时，携带client_id、client_secret、redirect_uri（用户允许登录后的重定向页面）重定向到github授权页面</li>
<li>如果用户在github授权页面允许授权，则由github重定向回应用指定的redirect_uri，并返回一个参数code（作用类似与前文的随机数）</li>
<li>三方应用服务端收到github的回调后，携带返回的code和client_id、client_secret向github请求一个token</li>
<li>如果token申请成功，则三方应用后续直接使用github返回的token请求github接口</li>
</ol>
<p>了解了这一流程，回顾前文自己的设计，最大的差别是github的OAtuh流程中code随机数只用于token申请，之后的请求都是携带token进行认证的，优势是很明显的：</p>
<ul>
<li>前文流程中每次请求对code签名作为凭证，如果code超时失效则需要重新走一遍申请code流程，但是为了降低code泄露带来的风险，code的有效期不能设置的过长</li>
<li>在前文流程中每次请求都需要进行签名认证，而OAuth流程中对三方应用的请求只是管控了入口，后续只需要对token进行验证处理</li>
</ul>
<p>在此之外不难发现另一个差别。翻看github、微信小程序之类OAuth流程的实现，会发现在应用申请token这一步，都是直接在请求参数中携带了应用的secret————而不是前文设计的流程中一样使用secret签名，真正的secret不进行传输。这里本身OAuth协议的开放性很高，并没有什么严格的要求，需要在实现时根据需求自行决定。</p>
<p>为什么github、微信选择了传输secret呢？其实可以这样理解：如果不传输secret，而是由三方应用使用secret做签名，那么认证服务端为了验签，就必须保存一份应用secret的明文（虽然可能是经过对称加密的），这是一个风险点。</p>
<p>而在请求中携带secret，看似恐怖，其实有https的保护，安全性并不是问题————当然，需要客户端保存好secret</p>
<h2 id="为什么说不使用https怎么做也不安全？"><a href="#为什么说不使用https怎么做也不安全？" class="headerlink" title="为什么说不使用https怎么做也不安全？"></a>为什么说不使用https怎么做也不安全？</h2><p>回过头来看自己设计的流程：</p>
<ol>
<li>服务端为三方应用分配一个可公开的ID、一个不可公开的secret</li>
</ol>
<p>需要传输、保存的过程可靠才可以认为安全</p>
<ol start="2">
<li>三方应用使用secret对ID签名得到sign，携带自身ID与sign向服务端请求一个随机数（面向管理端子系统，默认用户同意授权），这一随机数和三方应用ID一一对应、在一定时间内有效</li>
</ol>
<p>不安全，使用secret对ID签名得到sign，但为了服务端识别出应用又需要在请求中携带ID，那么每次请求都是同样的sign，一旦暴露就可以任意做重放攻击</p>
<ol start="3">
<li>三方应用使用secret对随机数签名，携带签名和自身ID发起请求</li>
</ol>
<p>不安全，请求参数可能泄漏</p>
<ol start="4">
<li>服务端校验根据三方应用ID、随机数验证签名，从而确认请求来自合法的三方应用</li>
</ol>
<p>不安全，步骤3中的请求参数泄漏后，同样参数的请求每次的sign相同，可以任意做重放攻击</p>
<p>即使使用申请token的模式、申请token的过程做到可信，携带token的请求如果不使用https，也无安全性可言；即使请求使用https，在客户端存储的token也有暴露的风险，只能从有效期、token状态、绑定终端等做补救。</p>
<p>但是再进一步：做到了以上手段，认证服务端对应用客户端的识别基本可靠了，但是，应用客户端怎么确认收到的响应是来自真实的认证服务端呢？</p>

    </div>

    
    
    

      <footer class="post-footer">
          <div class="post-tags">
              <a href="/tags/%E5%9C%BA%E6%99%AF%E7%A4%BA%E4%BE%8B/" rel="tag"># 场景示例</a>
              <a href="/tags/OAuth/" rel="tag"># OAuth</a>
          </div>

        


        
    <div class="post-nav">
      <div class="post-nav-item">
    <a href="/e6a6b472.html" rel="prev" title="nginx+lua(OpenResty)实现代理日志文件指定行读取">
      <i class="fa fa-chevron-left"></i> nginx+lua(OpenResty)实现代理日志文件指定行读取
    </a></div>
      <div class="post-nav-item">
    <a href="/b2a2bcde.html" rel="next" title="jvm内存及GC分析工具">
      jvm内存及GC分析工具 <i class="fa fa-chevron-right"></i>
    </a></div>
    </div>
      </footer>
    
  </article>
  
  
  



          </div>
          

<script>
  window.addEventListener('tabs:register', () => {
    let { activeClass } = CONFIG.comments;
    if (CONFIG.comments.storage) {
      activeClass = localStorage.getItem('comments_active') || activeClass;
    }
    if (activeClass) {
      let activeTab = document.querySelector(`a[href="#comment-${activeClass}"]`);
      if (activeTab) {
        activeTab.click();
      }
    }
  });
  if (CONFIG.comments.storage) {
    window.addEventListener('tabs:click', event => {
      if (!event.target.matches('.tabs-comment .tab-content .tab-pane')) return;
      let commentClass = event.target.classList[1];
      localStorage.setItem('comments_active', commentClass);
    });
  }
</script>

        </div>
          
  
  <div class="toggle sidebar-toggle">
    <span class="toggle-line toggle-line-first"></span>
    <span class="toggle-line toggle-line-middle"></span>
    <span class="toggle-line toggle-line-last"></span>
  </div>

  <aside class="sidebar">
    <div class="sidebar-inner">

      <ul class="sidebar-nav motion-element">
        <li class="sidebar-nav-toc">
          文章目录
        </li>
        <li class="sidebar-nav-overview">
          站点概览
        </li>
      </ul>

      <!--noindex-->
      <div class="post-toc-wrap sidebar-panel">
          <div class="post-toc motion-element"><ol class="nav"><li class="nav-item nav-level-2"><a class="nav-link" href="#%E4%B8%89%E6%96%B9%E5%BA%94%E7%94%A8%E6%8E%A5%E5%85%A5%E9%9C%80%E8%A6%81%E8%A7%A3%E5%86%B3%E7%9A%84%E9%97%AE%E9%A2%98"><span class="nav-number">1.</span> <span class="nav-text">三方应用接入需要解决的问题</span></a></li><li class="nav-item nav-level-2"><a class="nav-link" href="#OAuth%E5%8D%8F%E8%AE%AE%E7%9A%84%E6%B5%81%E7%A8%8B"><span class="nav-number">2.</span> <span class="nav-text">OAuth协议的流程</span></a></li><li class="nav-item nav-level-2"><a class="nav-link" href="#%E4%B8%BA%E4%BB%80%E4%B9%88%E8%AF%B4%E4%B8%8D%E4%BD%BF%E7%94%A8https%E6%80%8E%E4%B9%88%E5%81%9A%E4%B9%9F%E4%B8%8D%E5%AE%89%E5%85%A8%EF%BC%9F"><span class="nav-number">3.</span> <span class="nav-text">为什么说不使用https怎么做也不安全？</span></a></li></ol></div>
      </div>
      <!--/noindex-->

      <div class="site-overview-wrap sidebar-panel">
        <div class="site-author motion-element" itemprop="author" itemscope itemtype="http://schema.org/Person">
  <p class="site-author-name" itemprop="name">马天</p>
  <div class="site-description" itemprop="description">程序猿</div>
</div>
<div class="site-state-wrap motion-element">
  <nav class="site-state">
      <div class="site-state-item site-state-posts">
          <a href="/archives/">
        
          <span class="site-state-item-count">41</span>
          <span class="site-state-item-name">日志</span>
        </a>
      </div>
      <div class="site-state-item site-state-categories">
            <a href="/categories/">
          
        <span class="site-state-item-count">17</span>
        <span class="site-state-item-name">分类</span></a>
      </div>
      <div class="site-state-item site-state-tags">
            <a href="/tags/">
          
        <span class="site-state-item-count">25</span>
        <span class="site-state-item-name">标签</span></a>
      </div>
  </nav>
</div>
  <div class="links-of-author motion-element">
      <span class="links-of-author-item">
        <a href="https://github.com/matian2014" title="GitHub → https:&#x2F;&#x2F;github.com&#x2F;matian2014" rel="noopener" target="_blank"><i class="fab fa-github fa-fw"></i>GitHub</a>
      </span>
      <span class="links-of-author-item">
        <a href="mailto:matian1103@qq.com" title="E-Mail → mailto:matian1103@qq.com" rel="noopener" target="_blank"><i class="fa fa-envelope fa-fw"></i>E-Mail</a>
      </span>
  </div>



      </div>

    </div>
  </aside>
  <div id="sidebar-dimmer"></div>


      </div>
    </main>

    <footer class="footer">
      <div class="footer-inner">
        

        
  <div class="beian"><a href="https://beian.miit.gov.cn/" rel="noopener" target="_blank">陕ICP备2023001563号 </a>
  </div>

<div class="copyright">
  
  &copy; 
  <span itemprop="copyrightYear">2025</span>
  <span class="with-love">
    <i class="fa fa-heart"></i>
  </span>
  <span class="author" itemprop="copyrightHolder">马天</span>
</div>
  <div class="powered-by">由 <a href="https://hexo.io/" class="theme-link" rel="noopener" target="_blank">Hexo</a> & <a href="https://muse.theme-next.org/" class="theme-link" rel="noopener" target="_blank">NexT.Muse</a> 强力驱动
  </div>

        








      </div>
    </footer>
  </div>

  
  <script src="/lib/anime.min.js"></script>
  <script src="/lib/velocity/velocity.min.js"></script>
  <script src="/lib/velocity/velocity.ui.min.js"></script>

<script src="/js/utils.js"></script>

<script src="/js/motion.js"></script>


<script src="/js/schemes/muse.js"></script>


<script src="/js/next-boot.js"></script>




  















  

  

</body>
</html>
